人工智能技術(shù)的發(fā)展正在深刻影響著網(wǎng)絡(luò)安全領(lǐng)域。一方面,AI賦能了網(wǎng)絡(luò)攻擊手段的自動化和智能化,使得攻擊者能夠更快、更隱蔽地入侵企業(yè)網(wǎng)絡(luò),竊取數(shù)據(jù)、資金和身份信息;另一方面,AI也為網(wǎng)絡(luò)防御帶來了新的機(jī)遇,通過自學(xué)習(xí)、異常檢測等能力,AI可以幫助安全團(tuán)隊(duì)更快速、準(zhǔn)確地發(fā)現(xiàn)和應(yīng)對網(wǎng)絡(luò)威脅。
Darktrace最新的威脅報告顯示,網(wǎng)絡(luò)攻擊者不擇手段地利用AI來獲得入侵企業(yè)所需的速度和隱蔽性,在安全團(tuán)隊(duì)意識到被入侵之前就已經(jīng)竊取了數(shù)據(jù)、資金和身份信息。
Gartner 在最近發(fā)布的《新興技術(shù)影響雷達(dá):主動網(wǎng)絡(luò)安全》中寫道:"惡意行為者正在利用生成式人工智能發(fā)動以機(jī)器速度進(jìn)行的攻擊。組織再也無法等到檢測到入侵后才采取行動。預(yù)測潛在攻擊并利用預(yù)測分析優(yōu)先考慮主動緩解措施已經(jīng)變得至關(guān)重要。"
在這場"AI VS. AI"的對抗中,企業(yè)必須積極擁抱AI技術(shù),才能在不斷變化的網(wǎng)絡(luò)安全態(tài)勢中保持優(yōu)勢。以下,是AI VS. AI的六個最佳實(shí)踐。
1.利用自學(xué)習(xí)AI提升威脅檢測能力
對抗性AI正在成為越來越多網(wǎng)絡(luò)入侵事件的核心。網(wǎng)絡(luò)攻擊者不僅利用身份認(rèn)證及其諸多漏洞,還在利用"生活在陸地上"(LOTL)的技術(shù)和武器化AI來繞過靜態(tài)防御。安全團(tuán)隊(duì)被迫從被動防御轉(zhuǎn)向主動防御。
基于特征的檢測方式在應(yīng)對攻擊者的最新手段時舉步維艱。Darktrace 威脅研究副總裁 Nathaniel Jones提到:“檢測到入侵后的威脅已不再足夠。自學(xué)習(xí) AI 能精準(zhǔn)識別人類容易忽視的細(xì)微信號,實(shí)現(xiàn)主動防御。”
例如,Darktrace 在零日漏洞被披露前 17 天就檢測到了 Palo Alto 防火墻設(shè)備上的可疑活動,這體現(xiàn)了自學(xué)習(xí) AI 在應(yīng)對人工智能輔助攻擊關(guān)鍵基礎(chǔ)設(shè)施方面的優(yōu)勢。當(dāng)下,對抗性 AI 已成為大量數(shù)據(jù)泄露事件的核心因素,安全團(tuán)隊(duì)不得不從被動防御轉(zhuǎn)向主動防御。
2.自動化釣魚防御
釣魚攻擊正在激增,僅在過去一年,Darktrace就檢測到超過3000萬封惡意電子郵件。其中大多數(shù)(70%)都在利用AI生成的誘餌繞過傳統(tǒng)的電子郵件安全防線,這些誘餌與合法通信難以區(qū)分。釣魚和商業(yè)電子郵件入侵(BEC)是網(wǎng)絡(luò)安全團(tuán)隊(duì)利用AI來幫助識別和阻止入侵的兩個領(lǐng)域。
“利用 AI 是抵御 AI 驅(qū)動的攻擊的最佳防御措施,”Zscaler 首席安全官 Deepen Desai 說。
美國最大的零售抵押貸款機(jī)構(gòu)之一Rate Companies 的 Mowen 則強(qiáng)調(diào)了主動身份安全的必要性:“隨著攻擊者不斷改進(jìn)他們的策略,我們需要一種能夠?qū)崟r適應(yīng)并讓我們更深入地了解潛在威脅的解決方案。
3.加速安全事件響應(yīng)
在任何入侵或漏洞利用事件中,每一秒都至關(guān)重要。隨著入侵時間窗口的縮短,沒有時間可以浪費(fèi)。基于邊界的系統(tǒng)通常使用多年未打補(bǔ)丁的過時代碼,導(dǎo)致大量誤報。與此同時,不斷完善武器化AI的攻擊者在幾秒鐘內(nèi)就能突破防火墻,進(jìn)入關(guān)鍵系統(tǒng)。企業(yè)需要利用AI來實(shí)現(xiàn)快速檢測、分類和遏制威脅。
Mowen建議首席CSO效仿 Rate Companies 的1-10-60 安全運(yùn)營中心模型。該模型旨在 1分鐘內(nèi)檢測入侵、 10 分鐘內(nèi)對其進(jìn)行分類,并在 60 分鐘內(nèi)將其控制住。她建議將此作為安全運(yùn)營的基準(zhǔn)。
正如Mowen所警告的:"您的攻擊面不僅僅是基礎(chǔ)設(shè)施,還有時間。您有多長時間來響應(yīng)?"未能加快遏制速度的組織將面臨更長時間的入侵和更高的損失。她建議CSO通過跟蹤平均檢測時間(MTTD)、平均響應(yīng)時間(MTTR)和誤報減少來衡量AI對事件響應(yīng)的影響。威脅被遏制得越快,造成的損害就越小。AI不僅僅是一種增強(qiáng),它正在變成一種必需品。
4.持續(xù)強(qiáng)化攻擊面
從大量移動設(shè)備到大規(guī)模云遷移,再到無數(shù)的物聯(lián)網(wǎng)傳感器和終端,每個組織都在努力應(yīng)對著不斷變化的一系列攻擊面。AI驅(qū)動的暴露管理可以實(shí)時主動識別和修復(fù)各種環(huán)境中的漏洞和錯誤配置。
在Rate Companies,Katherine Mowen強(qiáng)調(diào)了可擴(kuò)展性和可見性的必要性。Rate Companies需要快速調(diào)整和適應(yīng)其業(yè)務(wù)運(yùn)營,這是推動其采用AI策略以實(shí)現(xiàn)對多樣化云環(huán)境的實(shí)時可見性和自動檢測錯誤配置的幾個因素之一。
5.利用行為分析和AI檢測內(nèi)部威脅
隨著影子人工智能的興起,內(nèi)部威脅加劇已成為一個緊迫的挑戰(zhàn)。AI 驅(qū)動的用戶和實(shí)體行為分析(UEBA)通過持續(xù)監(jiān)控用戶行為與建立的基線進(jìn)行比較,并快速檢測偏差來解決這一問題。
Rate Companies 面臨著嚴(yán)重的基于身份的威脅,促使Mowen 的團(tuán)隊(duì)整合實(shí)時監(jiān)控和異常檢測。她指出:"即使是最好的終端保護(hù)措施也無法防范攻擊者竊取用戶憑據(jù)。今天,我們采取'從不信任,總是驗(yàn)證'的方法,持續(xù)監(jiān)控每一筆交易。"
WinWire 首席技術(shù)官 Vineet Arora 觀察到,傳統(tǒng)的 IT 管理工具和流程通常缺乏對人工智能應(yīng)用程序的全面可見性和控制,從而使影子人工智能得以蔓延。他強(qiáng)調(diào)平衡創(chuàng)新與安全的重要性。他說:"提供安全的人工智能選擇可以確保人們不會被誘惑偷偷摸摸地使用。你無法杜絕人工智能的采用,但你可以安全地引導(dǎo)它。"通過人工智能驅(qū)動的異常檢測實(shí)施 UEBA 可以加強(qiáng)安全性,降低風(fēng)險和誤報。
6.人機(jī)協(xié)同的AI模式
在任何網(wǎng)絡(luò)安全應(yīng)用、平臺或產(chǎn)品中實(shí)施AI的主要目標(biāo)之一是讓它不斷學(xué)習(xí)并增強(qiáng)人類的專業(yè)知識,而不是取代人類。AI和人類團(tuán)隊(duì)都需要建立互惠的知識關(guān)系才能取得卓越成果。
CrowdStrike的CTO Elia Zaitsev認(rèn)為,很多時候,AI并不能取代人類,而是增強(qiáng)人類的能力。他說:“我們之所以能夠如此快速、高效、有效地構(gòu)建AI,是因?yàn)槲覀冇惺嗄甑娜祟愝敵觯F(xiàn)在可以將其輸入AI系統(tǒng)。"
這種人機(jī)協(xié)作在安全運(yùn)營中心(SOC)中尤為關(guān)鍵,AI必須在有限自主權(quán)下運(yùn)行,協(xié)助分析師而不是完全接管控制權(quán)。
未來,AI驅(qū)動的網(wǎng)絡(luò)威脅將會變得更加自動化和智能化。惡意軟件可以實(shí)時變形,釣魚活動可以偽裝得與合法通信難以區(qū)分。入侵時間窗口正在縮短,傳統(tǒng)防御已經(jīng)跟不上步伐。企業(yè)必須在安全的各個層面嵌入AI驅(qū)動的檢測、響應(yīng)和恢復(fù)能力,才能跟上攻擊者的步伐。
網(wǎng)絡(luò)防御的關(guān)鍵不僅僅是AI技術(shù)本身,更在于AI與人類專業(yè)知識的協(xié)同。AI應(yīng)該是安全防御者的倍增器,而不是替代品,幫助人類做出更快、更明智的安全決策。只有人機(jī)協(xié)同,企業(yè)才能在這場"AI VS. AI"的網(wǎng)絡(luò)安全對抗中立于不敗之地。面對日益智能化的網(wǎng)絡(luò)威脅,企業(yè)需要將AI融入到整個安全生命周期中,并與人類專業(yè)知識相結(jié)合,構(gòu)建全方位、動態(tài)適應(yīng)的主動防御體系,才能在未來的網(wǎng)絡(luò)安全態(tài)勢中保持領(lǐng)先優(yōu)勢。
